Conditions facultatives pour vos relations de confiance - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions facultatives pour vos relations de confiance

Vous pouvez imposer des conditions dans vos politiques de confiance dans les rôles, afin de restreindre les comptes et les ressources qui interagissent avec certains rôles dans AWS Control Tower. Nous vous recommandons vivement de restreindre l'accès au AWSControlTowerAdmin rôle, car il autorise des autorisations d'accès étendues.

Pour empêcher un attaquant d'accéder à vos ressources, modifiez manuellement votre politique de confiance de AWS Control Tower pour en ajouter au moins une aws:SourceArn ou une aws:SourceAccount condition à la déclaration de politique. Pour des raisons de sécurité, nous vous recommandons vivement d'ajouter aws:SourceArn cette condition, car elle est plus spécifique que aws:SourceAccount la limitation de l'accès à un compte et à une ressource spécifiques.

Si vous ne connaissez pas l'intégralité ARN de la ressource, ou si vous spécifiez plusieurs ressources, vous pouvez utiliser la aws:SourceArn condition avec des caractères génériques (*) pour les parties inconnues duARN. Par exemple, arn:aws:controltower:*:123456789012:* fonctionne si vous ne souhaitez pas spécifier de région.

L'exemple suivant illustre l'utilisation de la aws:SourceArn IAM condition avec vos politiques d'approbation des IAM rôles. Ajoutez cette condition à votre relation de confiance pour le AWSControlTowerAdminrôle, car le responsable du service AWS Control Tower interagit avec celui-ci.

Comme indiqué dans l'exemple, le format de la source ARN est le suivant : arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

Remplacez ${HOME_REGION} les chaînes ${CUSTOMER_AWSACCOUNT_id} par votre propre région d'origine et le numéro de compte du compte appelant.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

Dans l'exemple, la source ARN désignée comme arn:aws:controltower:us-west-2:012345678901:* étant la seule ARN autorisée à effectuer l'sts:AssumeRoleaction. En d'autres termes, seuls les utilisateurs qui peuvent se connecter à l'identifiant du compte012345678901, dans la us-west-2 région, sont autorisés à effectuer des actions nécessitant ce rôle spécifique et cette relation de confiance pour le service AWS Control Tower, désigné commecontroltower.amazonaws.com.

L'exemple suivant montre les aws:SourceArn conditions aws:SourceAccount et appliquées à la politique de confiance dans les rôles.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

L'exemple illustre l'instruction de aws:SourceArn condition, avec une déclaration de aws:SourceAccount condition ajoutée. Pour de plus amples informations, veuillez consulter Empêchez l'usurpation d'identité entre services.

Pour des informations générales sur les politiques d'autorisation dans AWS Control Tower, voirGérez l'accès aux ressources.

Recommandations :

Nous vous recommandons d'ajouter des conditions aux rôles créés par AWS Control Tower, car ces rôles sont directement assumés par d'autres AWS services. Pour plus d'informations, consultez l'exemple de AWSControlTowerAdmin, présenté précédemment dans cette section. Pour le rôle d' AWS Config enregistreur, nous recommandons d'ajouter la aws:SourceArn condition, en spécifiant l'enregistreur Config ARN comme source autoriséeARN.

Pour les rôles tels que AWSControlTowerExecutionles rôles programmatiques pouvant être assumés par le compte AWS Control Tower Audit dans tous les comptes gérés, nous vous recommandons d'ajouter la aws:PrincipalOrgID condition à la politique de confiance relative à ces rôles, qui confirme que le principal accédant à la ressource appartient à un compte de la bonne AWS organisation. N'ajoutez pas l'énoncé de aws:SourceArn condition, car il ne fonctionnera pas comme prévu.

Note

En cas de dérive, il est possible qu'un rôle AWS de Control Tower soit réinitialisé dans certaines circonstances. Il est recommandé de revérifier régulièrement les rôles, si vous les avez personnalisés.